Désolé si le titre est ambigu, cependant, je suis assez nouveau pour Ubuntu, mais je viens de mettre en place un serveur Web qui l’exécute avec un groupe de "développeurs" qui sont tous des Sudo.
Pour le moment, les utilisateurs ne peuvent se connecter via SSH qu'avec une clé liée à leur compte. Mais user1 pourrait simplement faire:
Sudo su - user2
Et agissez en tant qu'utilisateur2 sans mot de passe. Y at-il un moyen de forcer le même comportement que
su - user2
qui nécessitera réellement le mot de passe de l'utilisateur2? Sinon, suivre les commandes de chaque utilisateur pour voir qui a fait ce qui est un peu inutile.
Merci!
Pour empêcher le changement d'utilisateur par Sudo su -
, vous devez désactiver la capacité de root à su
pour tout utilisateur. Éditez /etc/pam.d/su
et commentez cette ligne:
auth sufficient pam_rootok.so
Comme le commentaire ci-dessus dans /etc/pam.d/su
indique, cela permet à root de su
sans mot de passe.
Vous pouvez également restreindre l'utilisation de Sudo
à un ensemble limité de commandes n'incluant pas su
et forcer le changement d'utilisateur par Sudo -i -u
/Sudo -s -u
, et activer l'option targetpw
dans sudoers
.
Les privilèges Sudo ne devraient être accordés qu'à ceux qui pourraient avoir besoin d'administrer la machine elle-même. D'autres privilèges peuvent être gérés via des groupes et des privilèges de groupe. Par exemple, ajoutez l'utilisateur nommé 'developer1' au groupe www-data:
Sudo usermod -a -G www-data developer1
Ceci ajoutera 'developer1' au groupe www-data d'Apache.
Sudo chgrp -R www-data /var/www
Veillera à ce que tous les fichiers et répertoires de/var/www appartiennent au groupe 'www-data'.
Sudo chmod -R g+w /var/www
Veillera à ce que le groupe ait un accès en écriture à tous les fichiers de/var/www
http://www.cyberciti.biz/faq/ubuntu-add-user-to-group-www-data/